AWS マネージドアプリケーションでの信頼できる ID の伝播の使用 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージドアプリケーションでの信頼できる ID の伝播の使用

信頼できる ID の伝播により、 AWS マネージドアプリケーションはユーザーに代わって AWS のサービス内のデータへのアクセスをリクエストできます。データアクセス管理はユーザーの ID に基づいているため、管理者はユーザーの既存のユーザーやグループのメンバーシップに基づいてアクセスを付与できます。ユーザーの ID、ユーザーに代わって実行されたアクション、およびその他のイベントは、サービス固有のログと CloudTrail イベントに記録されます。

信頼できる ID の伝播は OAuth 2.0 標準に基づいています。この機能を使用するには、 AWS マネージドアプリケーションが IAM アイデンティティセンターと統合されている必要があります。 AWS 分析サービスは、互換性のあるアプリケーションが信頼できる ID の伝播を使用できるようにするドライバーベースのインターフェイスを提供する場合があります。例えば、JDBC、ODBC、および Python ドライバーを使用すると、互換性のあるクエリツールで追加のセットアップ手順を実行しなくても、信頼できる ID の伝播を使用できます。

AWS サービスへの信頼できる ID の伝播のために AWS マネージドアプリケーションを設定する

AWS 信頼された ID の伝播をサポートする サービスは、この機能の設定に使用できる管理ユーザーインターフェイスと APIsを提供します。これらのサービスに対して、IAM アイデンティティセンター内で設定を行う必要はありません。

AWS マネージドアプリケーションから サービスへの AWS 信頼できる ID の伝播により、 AWS マネージドアプリケーションは、IAM アイデンティティセンターに既知のユーザーと、以前に IAM アイデンティティセンターに登録されたアプリケーションへの参照を含むトークンを IAM アイデンティティセンターから取得できます。具体的な手順は、アプリケーションとサービスによって提供される管理インターフェイスと APIs によって異なります。大まかに言うと、セットアッププロセスには 2 つのステップがあります。

  1. アプリケーションコンソールまたは API を使用して、アプリケーションを IAM アイデンティティセンターのインスタンスに接続する

    AWS マネージドアプリケーションの コンソールまたはアプリケーション APIs を使用して、アプリケーションを IAM アイデンティティセンターのインスタンスに接続します。アプリケーションのコンソールを使用する場合、管理ユーザーインターフェースにはセットアップと接続プロセスを効率化するウィジェットが含まれます。

  2. アプリケーションコンソールまたは API を使用して、アプリケーションのリソースへのユーザーアクセスを設定する

    このステップを完了して、ユーザーがアクセスできるリソースまたはデータを承認します。アクセスは、ユーザーの ID またはグループメンバーシップに基づいています。認可モデルは、アプリケーションによって異なります。

    重要

    ユーザーが AWS サービスのリソースにアクセスできるようにするには、このステップを完了する必要があります。そうしないと、リクエスト元のアプリケーションがサービスへのアクセスをリクエストする権限を与えられていても、ユーザーはリソースにアクセスできません。

AWS マネージドアプリケーションのセットアッププロセスとリクエストフロー

このセクションでは、信頼できる ID の伝播を使用し、Web ベースのシングルサインオン環境を提供する AWS マネージドアプリケーションのセットアッププロセスとリクエストフローについて説明します。詳細については、「 AWS マネージドアプリケーションの信頼できる ID 伝達リクエストフロー」を参照してください。

次の図は、このプロセスの概要を示しています。

信頼できる ID の伝播を使用して AWS マネージドアプリケーションのセットアッププロセスとリクエストフロー

次の手順で、このプロセスに関する追加情報を提供します。

  1. AWS マネージドアプリケーションまたはアプリケーション APIsの コンソールを使用して、以下を実行します。

    1. アプリケーションを IAM アイデンティティセンターのインスタンスに接続します。

    2. ユーザーがアクセスできるアプリケーションリソースを許可するアクセス許可を設定します。

  2. リクエストフローは、ユーザーが リソース (リクエスト元のアプリケーション) へのアクセスをリクエストできる AWS マネージドアプリケーションを開くと開始されます。

  3. 受信側 AWS マネージドアプリケーションにアクセスするためのトークンを取得するために、リクエスト元の AWS マネージドアプリケーションは IAM Identity Center へのサインインリクエストを開始します。

    ユーザーがサインインしていない場合、IAM アイデンティティセンターは指定した ID ソースへのユーザー認証フローをトリガーします。これにより、IAM Identity Center で設定した期間を持つユーザーの新しい AWS アクセスポータルセッションが作成されます。その後、IAM Identity Center はセッションに関連付けられたトークンを生成し、アプリケーションはユーザーの AWS アクセスポータルセッションの残りの期間にわたって動作できます。ユーザーがアプリケーションからサインアウトしたり、セッションを削除したりすると、セッションは 2 時間以内に自動的に終了します。

  4. AWS マネージドアプリケーションは、受信側アプリケーションへのリクエストを開始し、そのトークンを提供します。

  5. 受信側のアプリケーションは IAM アイデンティティセンターを呼び出して、ユーザーの ID とトークンにエンコードされたスコープを取得します。受信側のアプリケーションが、Identity Center ディレクトリからユーザー属性またはユーザーのグループメンバーシップを取得するようにリクエストする場合もあります。

  6. 受信側のアプリケーションは、その認可設定を使用して、リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されているかどうかを判断します。

  7. リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されている場合、受信側のアプリケーションはそのリクエストに応答します。

  8. ユーザーの ID、ユーザーに代わって実行されたアクション、受信側のアプリケーション ログと AWS CloudTrail イベントに記録されたその他のイベント。この情報を記録する具体的な方法は、アプリケーションによって異なります。